Linuxclient - Verzeichnisrechte

Sascha · 11. März 2022 um 19:55

N’Abend,
weiß einer, wie man auf dem Linuxclient die Zugriffsrechte der Heimatverzeichnisse steuert ? Standardmässig bekommen Userverzerzeichnisse in Ubuntu ja die Rechte 755, eine etwas seltsame Design-Entscheidung der Ubuntu-Macher, die sie seit 21.04 geändert haben, die aber in 20.04 noch vorhanden ist. Das führt dazu,dass ein Nutzer B der sich nach Nutzer A an einem Rechner anmeldet in das lokale persönliche Verzeichnis von A schauen kann (nur ins lokale, nicht auf das Serververzeichnis).
Ich würde das gerne ändern, weiß aber nicht wie – wie man diese Voreinstellung auf einem „normalen“ Rechner ändert weiß ich (/etc/adduser.conf) aber das wirkt nur für User, die man lokal anlegt, nicht für Domänenuser. Ich habe auch schon probiert, die Verzeichnisrechte des Vorlagenusers zu ändern, die sind aber nicht übernommen worden.
Irgendwo anders muss also stehen, welche Zugriffsrechte die neu erstellten Heimtverzeichnisse der Domänenuser bekommen, aber ich find einfach nicht wo…

Gruß
Sascha

baumhof · 12. März 2022 um 20:59

Hallo Sascha,

Ich würde das gerne ändern, weiß aber nicht wie – wie man diese
Voreinstellung auf einem „normalen“ Rechner ändert weiß ich
(/etc/adduser.conf) aber das wirkt nur für User, die man lokal anlegt,
nicht für Domänenuser. Ich habe auch schon probiert, die
Verzeichnisrechte des Vorlagenusers zu ändern, die sind aber nicht
übernommen worden.
Irgendwo anders muss also stehen, welche Zugriffsrechte die neu
erstellten Heimtverzeichnisse der Domänenuser bekommen, aber ich find
einfach nicht wo…

welcher Linuxclient?
linuxmuster-linuxclient7
oder
linuxmuster-client-adsso
?

Bei ersterem würde ich schätzen, dass das durch GPOs auf dem Server
vorgegeben werden kann (oder vorgegeben wird …).

LG

Holger

garblixa · 13. März 2022 um 07:31

Hallo,

so aus dem Bauch raus:
Wird das Homeverzeichnis evtl. erstellt durch pam_mkhomedir? Dort kann man die umask einstellen:

http://linux-pam.org/Linux-PAM-html/sag-pam_mkhomedir.html

Viele Grüße
Klaus

Sascha · 13. März 2022 um 18:04

Hi Holger, Hallo Klaus,
ja es ist der linumxuster-linuxclient von Dorian, von daher könnte GPO schon sein. Oder der pam_mkhomdir von Klaus, das hab ich mich gestern beim Durchgehen der Paketdateien auch schon gefragt – es gibt eine config Datei für pam (common-session) darin ist offensichtlich mit
session optional pam_umask.so
ein Modul aktiviert, das laut kommentar ....will set the umask according to the system default in /etc/login.defs and user settings.
Muss ich mir morgen mal anschauen…
Gruß
Sascha

dorian · 14. März 2022 um 10:47

Nein. GPO sind nur für Shares und Drucker.

Und ja, wir benutzen pam_mkhomedir:

github.com

linuxmuster/linuxmuster-linuxclient7/blob/a6115cfec0ea7fbfae13ec36f3e27b87c09934c9/usr/share/linuxmuster-linuxclient7/templates/common-session#L24


      
          # local modules either before or after the default block, and use
          # pam-auth-update to manage selection of other modules.  See
          # pam-auth-update(8) for details.
          
          # here are the per-package modules (the "Primary" block)
          session	[default=1]	pam_permit.so
          # here's the fallback if no module succeeds
          session	requisite   pam_deny.so
          
          ## linuxmuster-linuxclient7: mount the homedir first using requisite
          session requisite   pam_mkhomedir.so  skel=@@userTemplateDir@@
          ## linuxmuster-linuxclient7: exec more scripts as root using requisite
          session requisite   pam_exec.so @@hookScriptLoginLogoutAsRoot@@
          
          # prime the stack with a positive return value if there isn't one already;
          # this avoids us returning an error just because nothing sets a success code
          # since the modules above will each just jump around
          session	required	pam_permit.so
          # The pam_umask module will set the umask according to the system default in
          # /etc/login.defs and user settings, solving the problem of different
          # umask settings with different shells, display managers, remote sessions etc.

Wenn es das Problem löst, können wir das auch gerne in den Client einbauen. Denn, dass man auf andere Nutzerhomes zugreifen kann, ist tatsächlich nicht optimal.

VG
Dorian

Sascha · 14. März 2022 um 12:55

Hi,
hab es ausprobiert wenn man in der /etc/pam.d/common-session beim pam_mkhomedir ein „umask 077“ ergänzt…

session requisite pam_mkhomedir.so umask=077 skel=/home/linuxadmin

—werden Heimatverzeichnisse der Domänenuser mit den Rechten 700 angelegt (danke @garblixa für @dorian für die Hinweise)
Das wäre zunächst mal, was ich wollte, wobei sich erst im Betrieb rausstellen wird, ob das Probleme an anderer Stelle gibt.

Übertragen auf den Linuxclient müsste in der Datei /usr/share/linuxmuster-linuxclient7/templates/common-session die Zeile

geändert werden in
session requisite pam_mkhomedir.so umask=077 skel=@@userTemplateDir@@

Gruß
Sascha

dorian · 14. März 2022 um 13:32

Siehe:

github.com/linuxmuster/linuxmuster-linuxclient7

Feat: Change umask of homedir to 077

linuxmuster:master ← linuxmuster:feta/home-umask

opened 01:31PM - 14 Mar 22 UTC

dorianim

+1 -1

This changes the umask of userhomes to 077 (Permissions will be 700 respectively…) to prevent other users from accessing their data. The default is 022 which makes it possible for users to access other users data if they know the explicit path. See: - http://linux-pam.org/Linux-PAM-html/sag-pam_mkhomedir.html - https://ask.linuxmuster.net/t/linuxclient-verzeichnisrechte/8607 @kiarn @PLanB2008 do you see any unwanted implications of this?

Danke fürs Ausprobieren

helge.m · 2. November 2022 um 10:47

Haben sich bei dem Vorgehen unerwünschte Nebeneffekte gezeigt?

VG Helge

Sascha · 5. November 2022 um 20:51

Bis jetzt nicht.

Gruß
Sascha